Det er en risikovurdering efter databeskyttelsesforordningens artikel 32, som skal vise, hvilke tiltag der er relevante. Hvis organisationen fx har få ansatte, eller hvis der sjældent sker ansættelser eller fratrædelser, kan skriftlige procedurer være tilstrækkeligt, og denne foranstaltning vil ikke bidrage væsentligt til sikkerheden.
Forordningens artikel 25: Ved udvikling eller erhvervelse af nye it-systemer eller udvikling/ændring i eksisterende it-systemer skal databeskyttelse være tænkt ind i design og standardindstillinger. Automatisk lukning af adgange forudsætter, at funktionaliteten er indbygget i de it-systemer, som styrer adgangen.